Форма авторизации php mysql
Безопасный метод авторизации на PHP
Давайте посмотрим вокруг: форумы, интернет магазины, гостевые книги и т.д. используют регистрацию и последующую авторизацию пользователей. Можно даже сказать, что это почти необходимая функция каждого сайта (только если это не домашняя страничка Васи Пупкина или не визитная карточка, какой-нибудь небольшой компании). Сегодня я хочу поделиться со всеми новичками информацией, о том, как лучше это все реализовать.
Модель авторизации:
Клиент
Сервер MySQL
При регистрации в базу данных записывается логин пользователя и пароль(в двойном md5 шифровании)
При авторизация, сравниваеться логин и пароль, если они верны, то генерируеться случайная строка, которая хешируеться и добавляеться в БД в строку user_hash. Также записываеться IP адрес пользователя(но это у нас будет опциональным, так как кто-то сидит через Proxy, а у кого-то IP динамический. тут уже пользователь сам будет выбирать безопасность или удобство). В куки пользователя мы записываем его уникальный индетификатор и сгенерированный hash.
Почему надо хранить в куках хеш случайно сгенерированной строки, а не хеш пароля?
1. Из-за невнимательности программиста, во всей системе могут быть дырки, воспользовавшийсь этими дырками, злоумышленик может вытащить хеш пароля из БД и подставить его в свои куки, тем самым получить доступ к закрытым данным. В нашем же случае, двойной хеш пароля не чем не сможет помочь хакеру, так как расшифровать он его не сможет(теоретически это возможно, но на это он потратит не один месяц, а может быть и год) а воспользоваться этим хешем ему негде, ведь у нас при авторизации свой уникальный хеш прикрепленный к IP пользователя.
2. Если злоумышленик вытащит трояном у пользователя уникальный хеш, воспользовать им он также не сможет(разве если только, пользователь решил принебречь своей безопастностью и выключил привязку к IP при авторизации).
Реализация
Структура таблицы `users` в базе данных ‘testtable’
register.php
login.php
check.php
logout.php
Для защиты формы логина от перебора, можно использовать капчу или временную задержку на повторную авторизацию.
Автор: http://jiexaspb.habrahabr.ru/. Адаптация под PHP 5.5 и MySQL 5.7 KDG.
Куки с флагом HttpOnly не видны браузерному javascript-коду, а отправляются только на сервер. На практике у вас никогда нет необходимости получать их содержимое в javascript. А вот злоумышленнику, нашедшему XSS — а XSS так или иначе когда-нибудь где-нибудь найдется — отсутствие HttpOnly на авторизационных куках доставит много радости.
Простая авторизация и аутентификация на PHP в связке с MySQL
Все кто разрабатывает web сайты, рано или поздно сталкивается с такой задачей как авторизация и аутентификация пользователей, реализованная именно с помощью языка программирования, а не с помощью стандарта протокола http. Сегодня мы рассмотрим пример создания простой авторизации с использованием языка программирования PHP, а данные о пользователях будем хранить в базе MySQL.
Приведенный ниже способ является простым или как бы основой для создания нормальной авторизации, но его Вы вполне можете использовать, так как он достаточно хорошо работает, также Вы сами можете улучшить этот способ и внедрить у себя на сайте.
Данный способ основан на сессиях, но я здесь применяю и куки, для того чтобы браузер запоминал пользователя, который аутентифицировался прошлый раз, чтобы каждый раз не вводить логин, можно конечно хранить в куках и пароль, но это не безопасно, даже если он зашифрован. Для того чтобы сессия закончилась, просто закройте браузер и откройте заново.
Создание объектов в базе данных
Переходим к практике. Для начала создадим таблицу хранения данных о пользователях в базе MySQL. Я предлагаю использовать простую структуру таблицы (Вы ее, конечно, можете дополнить чем-нибудь, у меня база называется test, а таблица users):
И давайте сразу же добавим одну запись в эту таблицу:
Итого у нас получилось:
Мы пароль, конечно же, будем хранить в хешированном виде, так как хранить пароль в открытом виде, мягко сказать, не безопасно. У нас Выше хеш пароля 123, поэтому, когда будем вводить пароль в форму, мы будем забивать именно 123, а не 202cb962ac59075b964b07152d234b70.
Создание формы регистрации
Для того чтобы пользователь мог сам зарегистрироваться, сделайте форму, данные с которой будут посылаться на файл обработки регистрации, т.е. записываться в базу данных. Например, вот самый простой способ:
Кстати, при таком способе лучше всего для логина использовать латинские буквы (т.е. английские), если хотите писать логин на русском, то придется немного корректировать код. Файл можете назвать как угодно (для теста я использовал reg.html).
Примечание! Для тестирования я использую всего один файл, я его назвал mylogin.html (код файла ниже). Вы можете использовать в своих файлах и называть их как угодно, я здесь описываю сам процесс авторизации, поэтому применить его можно везде. Кстати, во всех файлах придется использовать функцию session_start(); для того чтобы Вы могли проверять авторизован пользователь или нет. И еще один момент, конечно же, пропишите свои настройки подключения к базе данных.
Создание формы авторизации
Теперь перейдем непосредственно к самой авторизации. Создайте файл с названием mylogin.html со следующим содержанием:
Примечание! Если вдруг у Вас отказывает работать парсер php, т.е. на экран Вам выводится сам код php, то у Вас просто на всего не включена обработка php в файлах html. Настройки делаются в файле конфигурации web сервера httpd.conf (если apache):
В IIS в окне «Добавление сопоставления модуля» (Add Module Mapping) добавьте к *.php еще и *.html через запятую. Это если Вы делаете у себя дома на своем web сервере, а если Вы все это делаете у хостера, то Вам придется писать им и просить внести необходимые изменения, у некоторых хостеров они уже сделаны.
Код я прокомментировал, поэтому я думаю, что все должно быть понятно. Еще раз напоминаю во всех файлах, содержимое которых Вы не хотите показывать не авторизованным пользователям, необходимо писать session_start, ну и, наверное, на этом все. Если есть вопросы, задавайте в комментариях. Удачи!
Регистрация и авторизация
Принцип реализации
Функция регистрации и авторизации пользователей на сайте реализуется так: когда пользователь регистрируется на сайте, он заполняет форму регистрации, в которой указывает различные данные, в том числе, логин и пароль. Форма отправляет эти данные на сервер, и они записываются в базу данных.
Авторизация и дальнейшее пребывание пользователя на сайте происходит по следующей схеме:
В сессии можно не просто указать факт авторизации, но и записать какие-то данные пользователя для вывода их на страницу, например имя или ник. Решение о том, использовать сессии или куки принимается для каждого сайта отдельно. Если на сайте содержится важная информация, то лучше применять сессии, потому что узнать чужие регистрационные данные при этом намного сложнее.
Формы авторизации и регистрации
Форма авторизации обычно располагается на главной странице, либо она может быть на всех страницах сайта. Для формы регистрации, в основном, создаётся отдельная страница. Мы создадим всего одну страницу, на которой будут обе формы, и на неё же будут выводиться данные пользователя. Пока на ней будет только HTML код, но мы сразу сделаем PHP файл, потому что в дальнейшем это будет скрипт. Назовём его formreg.php. Код страницы будет такой:
Регистрация
Форма авторизации отправляет данные в файл registration.php. Расположим его в той же папке, где находится страница. Код скрипта будет такой:
В строке 9 мы устанавливаем возврат к странице с формами. Так как на локальном сервере выполнение скрипта и повторная загрузка страницы происходит очень быстро, то визуально это будет выглядеть так, как будто при нажатии кнопки «Зарегистрироваться», ничего не происходит. На реальных сайтах обычно делают переход на специальную страницу с информацией о том, что пользователь зарегистрирован и регисрационными данными. Попробуйте выполнить регистрацию и посмотрите, появляются ли в базе данных новые записи.
Авторизация
Форма авторизации запускает на сервере файл authorization.php. Этот скрипт принимает логин и прароль и проверяет, есть ли такой пользователь. Если есть, то логин будет записываться в сессию. Если такой пользователь не найден, то в сессию будет записываться информация об этом. Это нужно для того, чтобы страница, которая будет открыта после выполнения скрипта, получила эту информацию и вывела сообщение, что введён неправильный логин или пароль. Код скрипта такой:
В строке 7 формируется запрос на выборку строки с логином и паролем, полученными из формы. Перед полем pas написано ключевое слово BINARY. Оно нужно для того, чтобы при сравнении по этому полю учитывался регистр символов. Если нужно, чтобы регистр учитывался и при сравнении логина, то BINARY нужно написать перед ним. В примере делается запрос на выборку всех полей. На практике можно делать выборку только тех полей, данные из которых нужно будет выводить на страницу.
После получения результата, проверяется, найдена ли указанная запись. Если запись есть, то логин записывается в сессию. Если пользователь не найден, то вместо логина пишется строка «er login». Можно написать другой текст, но нужно быть уверенным, что он не совпадёт с каким-то логином. Затем происходит возврат на страницу с формами.
Если в сессии есть логин, но в нём содержится строка «er login», то выводится сообщение, что логин или пароль неправильный. После вывода сообщения логин становится пустым. Это сделано для того, чтобы сообщение выводилось только один раз и при переходе на другие страницы не появлялось. Если логин другой, значит пользователь авторизован и страница формируется как для зарегистрированных. Если логина нет, значит авторизации ещё не было и страница выводится для не зарегистрированных пользователей.
Мы рассмотрели только общий принцип создания функции регистрации и авторизации. На реальных сайтах она сложнее. Формы должны выводиться только для не авторизованных пользователей. Кроме того, нужно добавить кнопку «Выход», которая отменяет авторизацию. При регистрации нужно делать проверку формы, проверять уникальность логина и добавить подтверждение пароля.
Коприрование материалов сайта возможно только с согласия администрации
Как с помощью PHP и MySQL создать систему регистрации и авторизации пользователей
Хотя в Интернете есть много пособий на эту тему, большинство из них предназначено для продвинутых пользователей.
Эта статья расскажет о том, как создать простую версию системы авторизации и регистрации пользователей с использованием PHP и MySQL для начинающих. Давайте начнем!
Ресурсы, необходимые для работы с этим руководством:
Что мы создаем
Настройка сервера
Вы можете использовать любой хостинг с поддержкой PHP и MySQL ( только убедитесь, что он поддерживает PHP версии 5.3 или более поздней и MySQL версии 4.1.3 или более поздней ).
Шаг 1 – MySQL
Взгляните на приведенный ниже код SQL :
Кроме того, используйте auto_increment для автоматического назначения идентификаторов или номеров пользователям, которые будут регистрироваться в системе.
Шаг 2 — Разметка
С помощью этого кода вы получите результат, который показан на рисунке ниже:
С помощью этого кода вы получите следующий результат:
Этот код даст нам следующий результат:
Шаг 3 — CSS
К этому времени, вы уже должны получить тот же результат, что и на изображении, приведенном в начале статьи.
Шаг 4 — Многоразово используемые элементы
Затем снова удалите эту часть во всех трех файлах PHP и замените ее следующим кодом:
Шаг — 5 Подключение к базе данных
Теперь, когда вы включили файлы разделов заголовка и подвала, пора создать новый включаемый файл. Назовите его constants.php и скопируйте в него следующий код:
В приведенном выше коде, мы создали константы информации базы данных. Теперь мы можем легко изменять информацию всякий раз, когда это необходимо.
Шаг — 6 Конфигурация файла register.php
В приведенном выше коде, обратите внимание, что перед добавлением данных в базу производится их валидация. Переменная message используется для хранения сообщения об ошибках или об успешном выполнении действия.
Шаг — 7 Конфигурация файла login.php
Шаг — 8 Конфигурация файла intropage.php
Шаг — 9 Конфигурация файла logout.php
Скопируйте данный код в файл logout.php :
Заключение
Вы можете изменять приведенные в этой статье коды по своему усмотрению. Если у вас есть идеи по их улучшению, буду рад услышать об этом в комментариях.
Надеюсь, вам понравилась эта статья. Увидимся в следующий раз!
>
>
else <
$message = «That username already exists! Please try another one!»;
>
>
else <
$message = «All fields are required!»;
>
>
?>
md5 шифрование так и не нашел в коде 🙁
Объясните новичку, как работает система донатов на сайте, как её создать и подключить к базе данных, и как менять цену на игровую валюту, буду очень благодарен!
где есть подключение к бд или работа с бд надо добавить букву i
например
mysql_query устаревшая
новая mysqli_query
читаем тут https://www.php.net/manual/ru/
валидатор https://phpcodechecker.com
Объясните пожалуйста шаг 4. Зачем заменять на header.php? А в footer.php только копирайт.
пожауйста скиньте исходник. не могу разобраться с кодом!
И только после этого всё заработало, как автор писал в статье:
Форма авторизации на php
Продолжаем изучать язык PHP на практике. Тема нашего сегодняшнего урока — «Простая форма авторизации на PHP». Я предлагаю вам подробное описание создания формы авторизации, регистрации и обработчиков файлов с пошаговой инструкцией.
Перед тем, как приступить к работе, мы должны продумать логику построения и работы нашей формы, чтобы потом воплотить её в жизнь средствами языка программирования, в нашем случае — средствами php.
Техническое задание
Итак, для этого нам нужна форма заполнения данных для входа в систему, на которой мы заполняем поля «логин», «пароль»и нажимаем кнопку «Войти», при нажатии которой подключается обработчик, который проверяет эти поля и если они совпадают с существующими в базе (то бишь осуществляется проверка, зарегистрирован ли такой зарегистрирован пользователь в системе), то нам показывается сообщение «Бла-бла-бла, вы зашли на сайт, поздравляем!», форма входа пропадает, а вместо неё появляется кнопка «Закрыть».
Также на форме входа есть ссылка «Регистрация» для тех пользователей, которые ещё не зарегистрировались, но очень хотят это сделать. При клике на эту ссылку мы попадаем уже на третий файл, который отвечает именно за регистрацию пользователей. В этом файле нам нужно прописать поля «Логин», «Пароль», «Повторите пароль», «Email» и кнопка «ОК», при нажатии которой подключается четвёртый файл — обработчик, который заносит заполненные поля в специальную таблицу Базы Данных, осуществляя при этом проверку, заполнены ли все поля.
Список файлов:
Форма авторизации
Помещение HTML-формы в PHP-скрипт
Поля формы авторизации создаются средствами языка разметки HTML, но нам необходимо поместить эту форму в PHP-скрипт, чтобы у нас была возможность работать с php-скриптами прямо в этой форме. Для этого форму заключим в php-скрипт, а выведем её на экраны средствами php, например,
Подключение обработчика формы
Для того, чтобы форма начала работать и данные с полей формы сверялись с данными в Базе Данных, которые были введены при регистрации, нам нужно форму авторизации подключить к обработчику, который и будет обрабатывать форму, сверять значения полей, запускать или не запускать пользователей на сайт. Подключается обработчик легко, нужно всего лишь прописать в теге form атрибут action, то бишь ссылку на обработчик (адрес документа или программы, которая будет обрабатывать данную форму), например:
Обработчик формы авторизации
Чтобы наша форма авторизации работала, то есть взаимодействовала с Базой Данных, мы подключили специальный обработчик script1.php. Именно он проверит введены ли данные в поля авторизации — «Логин» и «Пароль», зарегистрирован ли на сайте пользователь с введёнными параметрами (то бишь, есть ли в БД уже такой пользователь), и если есть, авторизовать его на сайте (если совпадают введённые логин и пароль с существующими в БД). Если такого пользователя нет (не совпадают введённые данные логин и пароль), вывести пользователю эту ошибку.
Для начала нам нужно проверить правильность заполнения форм входа пользователя. Проверяем, заполнены ли пользователем все поля, удаляем экранирование символов, удаляем лишние пробелы, преобразуем символы в html-сущности, открываем сессию и перенаправляем пользователя на нужную страницу после выполнения скрипта. Например:
Ну и, конечно же, нам нужно подключиться к базе данных, чтобы наши скрипты проверки пользователя и его авторизации могли работать. Чтобы подключиться к БД, нужно знать адрес сервера MySQL (mysql.moidomen.com), название базы данных (moya_baza), название пользователя базы данных (moi_login) и пароль к базе данных (moi_parol). В скобках и в примере ниже я указала примерные данные, вы же должны при подключении указать СВОИ данные для того, чтобы подключиться к СВОЕЙ базе данных. Пример подключения к БД:
Далее нам нужно извлечь из БД из таблицы с зарегистрированными пользователями на сайте их логины. Если есть зарегистрированный пользователь с таким логином, сверяем пароли введённые при регистрации и авторизации. Если эти пароли совпадают, авторизовываем пользователья на сайте и выводим информацию на экран, что он вошёл. В противном случае пользователя не авторизовываем (он остаётся, как гость) и показываем информацию, что логин или пароль неверны. Не забываем прописывать функцию защиты пароля md5();, которая переводит пароль в хэш в виде 32-символьного шестнадцатеричного числа. Пример ниже:
Полностью файл script1.php выглядит так:
Форма регистрации
На странице с формой авторизации для незарегистрированных пользователей, но желающих это сделать есть ссылка на страницу с регистрацией, которую нам и нужно создать. Форма регистрации аналогична форме авторизации, разница только в количестве полей и обработчике, который будет эту форму обрабатывать. Поэтому в атрибуте тега form — action прописываем ссылку на обработчик script2.php. Форма регистрации registration.php выглядит следующим образом:
Обработчик формы регистрации
Как форма регистрации готова, приступим к созданию обработчика формы регистрации. Он будет очень похож на обработчик формы авторизации. В них используются практически одинаковые функции. Сначала мы передаём в переменные значение заполненных форм в полях регистрации. Проводим проверку, заполнено ли каждое поле и совпадают ли пароли в обоих полях — в поле «Пароль» и «Подтверждение пароля». Пароль переводим в ХЭШ, используя функцию MD5 (); Она переводит введённый пароль, то есть кодирует его в хэш в виде 32-символьного шестнадцатеричного числа. Как и в обработчике авторизации, в обработчике регистрации прописываем функции, которые в заполненных полях редактируют данные — удаляют экранирование символов, удаляют лишние пробелы, преобразуют символы в html-сущности. Например:
Затем подключаемся к базе данных. На примере обработчика авторизации мы уже знаем как это делать:
Теперь нам осталось занести данные, введённые в поля формы регистрации в таблицу зарегистрированных пользователей registr_users, оповестить новоиспечённого пользователя о том, что регистрация прошла успешно выводом информации в браузер и предложить войти на сайт перейдя для этого по ссылке.
В целом весь файл-обработчик формы регистрации script2.php выглядит так:
Пример формы авторизации
Ну вот, в принципе, и всё. Для наглядности примера авторизации можно посмотреть — поклацать здесь. Там всё тоже самое, только я ещё добавила файл css и подключила его.